WebSphere SPNEGO - 無法從 JAAS 主題獲取委託人的憑證

問題

嘗試在 WebSphere 應用程序伺服器（WAS ND，單節點） 9.0.0.7 上啟用 SPNEGO 時出現錯誤。我在另一台伺服器上成功了，但是對於這個我找不到問題。

我收到以下錯誤消息：

org.ietf.jgss.GSSException, major code: 13, minor code: 0 major string: Invalid credentials minor string: Cannot get credential from JAAS Subject for principal: HTTP/server.aa.bbb.ccc@DDDDDDD.BBB.CCC

並從跟踪文件中：

javax.security.auth.login.FailedLoginException: Cannot retrieve key from keytab HTTP/server.aa.bbb.ccc@DDDDDDD.BBB.CCC

配置

1. 在域控制器上：setspn -A HTTP/server.aa.bbb.ccc AD-ACCOUNT-1

2. ktpass -out AD-ACCOUNT-1.keytab -princ HTTP/server.aa.bbb.ccc@DDDDDDD.BBB.CCC -mapuser AD-ACCOUNT-1 -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL /pass <PASSWORD>

3. WAS 使用使用者 LDAP 連接成功配置AD-ACCOUNT-1。

4. 密鑰表儲存為/app/sysx/WebSphere/AppServer/AD-ACCOUNT-1.keytab

5. $AdminTask createKrbConfigFile {-krbPath /app/sysx/WebSphere/AppServer/profiles/InfoSphere/krb5.conf -realm DDDDDDD.BBB.CCC -kdcHost ddddddd.bbb.ccc -dns ddddddd.bbb.ccc -keytabPath /app/sysx/WebSphere/AppServer/AD-ACCOUNT-1.keytab -encryption aes256-cts-hmac-sha1-96}

6. WAS Admin Web 控制台：全域安全 > SPNEGO Web 身份驗證

7. Kerberos 配置文件：/app/sysx/WebSphere/AppServer/profiles/InfoSphere/krb5.conf

8. 密鑰表：/app/sysx/WebSphere/AppServer/AD-ACCOUNT-1.keytab

9. SPNEGO 過濾器： 主機名：server.aa.bbb.cccKerberos 領域名稱：DDDDDDD.BBB.CCC過濾器標準：request-url^=ibm/iis/igc/services|ibm/iis/igc/secure|ibm/iis/igc-rest;request-url!=noSPNEGO修剪：Checked

我已經嘗試將所有別名添加到/etc/hosts基於我在網上找到的類似案例的基礎上，但它沒有幫助。

我們遵循本指南並解決了問題： https ://developer.ibm.com/answers/questions/178395/how-do-i-install-the-unrestricted-policy-files-in/

引用自：https://serverfault.com/questions/959088